Wat is Azure NAT Gateway?

Azure NAT Gateway is een volledig beheerde en zeer tolerante NAT-service (Network Address Translation). U kunt Azure NAT Gateway gebruiken om alle exemplaren in een privésubnet uitgaand verbinding te laten maken met internet terwijl u volledig privé blijft. Ongevraagde inkomende verbindingen van internet zijn niet toegestaan via een NAT-gateway. Alleen pakketten die als antwoordpakketten binnenkomen bij een uitgaande verbinding, kunnen via een NAT-gateway worden doorgegeven.

NAT Gateway biedt dynamische SNAT-poortfunctionaliteit om uitgaande connectiviteit automatisch te schalen en het risico van SNAT-poortuitputting te verminderen.

Afbeelding: Azure NAT Gateway

Azure NAT Gateway biedt uitgaande connectiviteit voor veel Azure-resources, waaronder:

• Exemplaren van virtuele Azure-machines (VM's) in een privésubnet
• AKS-clusters (Azure Kubernetes Services)
• Azure Function-apps
• Azure Firewall subnet
• Azure-app Services-exemplaren (webtoepassingen, REST API's en mobiele back-ends) via integratie van virtuele netwerken
• Azure Databricks met beveiligde clusterconnectiviteit en een standaard-VNet of met VNet-injectie.

Voordelen van Azure NAT Gateway

Eenvoudige installatie

Implementaties worden opzettelijk eenvoudig gemaakt met NAT-gateway. Koppel de NAT-gateway aan een subnet en een openbaar IP-adres en maak direct verbinding met het internet. Er zijn geen onderhouds- en routeringsconfiguraties vereist. Meer openbare IP-adressen of subnetten kunnen later worden toegevoegd zonder dat dit van invloed is op uw bestaande configuratie.

Stappen voor nat-gatewayimplementatie:

1. Maak een niet-zonegebonden of zonegebonden NAT-gateway.
2. Wijs een openbaar IP-adres of openbaar IP-voorvoegsel toe.
3. Het subnet van het virtuele netwerk configureren voor het gebruik van een NAT-gateway

Wijzig, indien nodig, de TCP-time-out voor inactiviteit (optioneel). Bekijk timers voordat u de standaardinstelling wijzigt.

Beveiliging

NAT Gateway is gebouwd op basis van het netwerkbeveiligingsmodel zonder vertrouwen en is standaard beveiligd. Met NAT-gateway hebben privé-exemplaren binnen een subnet geen openbare IP-adressen nodig om het internet te bereiken. Privéresources kunnen externe bronnen buiten het virtuele netwerk bereiken door SNAT (Source Network Address Translationing) naar de statische openbare IP-adressen of voorvoegsels van de NAT-gateway. U kunt een aaneengesloten set IP-adressen voor uitgaande connectiviteit opgeven met behulp van een openbaar IP-voorvoegsel. Doelfirewallregels kunnen worden geconfigureerd op basis van deze voorspelbare IP-lijst.

Flexibiliteit

Azure NAT Gateway is een volledig beheerde en gedistribueerde service. Het is niet afhankelijk van afzonderlijke rekeninstanties, zoals VM's of één fysiek gatewayapparaat. Een NAT-gateway heeft altijd meerdere foutdomeinen en kan meerdere fouten verdragen zonder serviceonderbreking. Softwaregedefinieerde netwerken maken een NAT-gateway zeer tolerant.

Schaalbaarheid

Nat-gateway wordt uitgeschaald vanaf het maken. Er is geen opstart- of uitschaalbewerking vereist. Azure beheert de werking van de NAT-gateway voor u.

Koppel nat-gateway aan een subnet om uitgaande connectiviteit te bieden voor alle privéresources in dat subnet. Alle subnetten in een virtueel netwerk kunnen dezelfde NAT-gatewayresource gebruiken. Uitgaande connectiviteit kan worden uitgeschaald door maximaal 16 openbare IP-adressen of een openbaar IP-voorvoegsel van de grootte /28 toe te wijzen aan de NAT-gateway. Wanneer een NAT-gateway is gekoppeld aan een openbaar IP-voorvoegsel, wordt automatisch geschaald naar het aantal IP-adressen dat nodig is voor uitgaand verkeer.

Prestaties

Azure NAT Gateway is een door software gedefinieerde netwerkservice. Elke NAT-gateway kan maximaal 50 Gbps aan gegevens verwerken voor zowel uitgaand als retourverkeer.

Een NAT-gateway heeft geen invloed op de netwerkbandbreedte van uw rekenresources. Meer informatie over de prestaties van nat-gateways.

Basisprincipes van Azure NAT Gateway

Uitgaande connectiviteit

• NAT-gateway is de aanbevolen methode voor uitgaande connectiviteit.

  • Zie Uitgaande toegang migreren naar Azure NAT Gateway als u uitgaande toegang naar een NAT-gateway wilt migreren vanaf standaardregels voor uitgaande toegang of uitgaande regels voor load balancers.

• Uitgaande connectiviteit met NAT-gateway wordt gedefinieerd op per subnetniveau. NAT-gateway vervangt de standaard internetbestemming van een subnet.

• Er zijn geen verkeersrouteringsconfiguraties vereist om NAT-gateway te gebruiken.

• Met NAT-gateway kunnen stromen worden gemaakt van het virtuele netwerk naar de services buiten uw virtuele netwerk. Retourverkeer van internet is alleen toegestaan als reactie op een actieve stroom. Services buiten uw virtuele netwerk kunnen geen binnenkomende verbinding tot stand brengen via de NAT-gateway.

• NAT-gateway heeft voorrang op andere uitgaande connectiviteitsmethoden, waaronder load balancer, openbare IP-adressen op exemplaarniveau en Azure Firewall.

• Wanneer nat-gateway is geconfigureerd voor een virtueel netwerk waar al een andere uitgaande connectiviteitsmethode bestaat, neemt NAT-gateway al het uitgaande verkeer over. Er zijn geen dalingen in de verkeersstroom voor bestaande verbindingen op load balancer. Alle nieuwe verbindingen maken gebruik van NAT-gateway.

• NAT-gateway heeft niet dezelfde beperkingen van SNAT-poortuitputting als standaardregels voor uitgaande toegang en uitgaande regels van een load balancer.

• NAT-gateway ondersteunt alleen TCP- en UDP-protocollen. ICMP wordt niet ondersteund.

Verkeersroutes

• Nat-gateway vervangt de standaardroute van een subnet naar internet wanneer deze is geconfigureerd. Al het verkeer binnen het voorvoegsel 0.0.0.0/0 heeft een volgend hoptype voor de NAT-gateway voordat er verbinding wordt gemaakt met internet.

• U kunt nat-gateway overschrijven als de volgende hop van een subnet naar internet door een aangepaste door de gebruiker gedefinieerde route (UDR) te maken.

• Aanwezigheid van aangepaste UDR's voor virtuele apparaten en ExpressRoute overschrijven NAT-gateway voor het omleiden van internetverkeer (route naar het adresvoorvoegsel 0.0.0.0/0).

• Uitgaande connectiviteit volgt deze volgorde van prioriteit tussen verschillende routerings- en uitgaande connectiviteitsmethoden: Virtueel apparaat UDR/Openbaar IP-adres op exemplaarniveau van ExpressRoute >> NAT >> op een virtuele machine >> Uitgaande regels >> load balancer standaardsysteemroute naar internet

NAT-gatewayconfiguraties

• Meerdere subnetten binnen hetzelfde virtuele netwerk kunnen verschillende NAT-gateways of dezelfde NAT-gateway gebruiken.

• Meerdere NAT-gateways kunnen niet worden gekoppeld aan één subnet.

• Een NAT-gateway kan niet meerdere virtuele netwerken omvatten.

• Een NAT-gateway kan niet worden geïmplementeerd in een gatewaysubnet.

• Een NAT-gatewayresource kan maximaal 16 IP-adressen gebruiken in een combinatie van:

  • Openbare IP-adressen

  • Openbare IP-voorvoegsels

  • Openbare IP-adressen en voorvoegsels die zijn afgeleid van aangepaste IP-voorvoegsels (BYOIP). Zie Aangepast IP-adresvoorvoegsel (BYOIP) voor meer informatie.

• NAT-gateway kan niet worden gekoppeld aan een openbaar IPv6-IP-adres of een openbaar IPv6-IP-voorvoegsel.

• NAT-gateway kan worden gebruikt met een load balancer met behulp van uitgaande regels om uitgaande connectiviteit met twee stacks te bieden. Zie uitgaande connectiviteit met twee stacks met NAT-gateway en load balancer.

• NAT-gateway werkt met elke netwerkinterface of IP-configuratie van virtuele machines. NAT-gateway kan SNAT meerdere IP-configuraties op een NIC gebruiken.

• NAT-gateway kan worden gekoppeld aan een Azure Firewall-subnet in een virtueel hubnetwerk en uitgaande connectiviteit bieden vanaf virtuele spoke-netwerken die zijn gekoppeld aan de hub. Zie Azure Firewall integratie met NAT-gateway voor meer informatie.

Beschikbaarheidszones

• Een NAT-gateway kan worden gemaakt in een specifieke beschikbaarheidszone of in 'geen zone' worden geplaatst.

• NAT-gateway kan worden geïsoleerd in een specifieke zone wanneer u zone-isolatiescenario's maakt. Deze implementatie wordt een zonegebonden implementatie genoemd. Nadat de NAT-gateway is geïmplementeerd, kan de zoneselectie niet worden gewijzigd.

• NAT-gateway wordt standaard in 'geen zone' geplaatst. Een niet-zonegebonden NAT-gateway wordt door Azure voor u in een zone geplaatst.

NAT-gateway en basis-SKU-resources

• NAT-gateway is compatibel met openbare IP-adressen van de standaard-SKU of resources voor openbare IP-voorvoegsels of een combinatie van beide.

• Eenvoudige SKU-resources, zoals basic load balancer of openbare IP-adressen van basics, zijn niet compatibel met NAT-gateway. NAT-gateway kan niet worden gebruikt met subnetten waarin SKU-basisresources bestaan. Basic load balancer en basic openbaar IP-adres kunnen worden bijgewerkt naar standaard om te werken met een NAT-gateway

  • Upgrade een load balancer van basic naar standaard. Zie Een openbare basis-Azure Load Balancer upgraden.

  • Upgrade een openbaar IP-adres van basic naar standaard. Zie Een openbaar IP-adres upgraden.

  • Upgrade een openbaar BASIS-IP-adres dat is gekoppeld aan een VM van basic naar standaard. Zie Een openbaar basis-IP-adres upgraden dat is gekoppeld aan een VM.

Verbindingstime-outs en timers

• Nat-gateway verzendt een RST-pakket (TCP Reset) voor elke verbindingsstroom die niet wordt herkend als een bestaande verbinding. De verbindingsstroom bestaat mogelijk niet meer als de time-out voor inactiviteit van de NAT-gateway is bereikt of als de verbinding eerder is gesloten.

• Wanneer de afzender van het verkeer op de niet-bestaande verbindingsstroom het TCP RST-pakket van de NAT-gateway ontvangt, is de verbinding niet meer bruikbaar.

• SNAT-poorten zijn niet direct beschikbaar voor hergebruik naar hetzelfde doeleindpunt nadat een verbinding is gesloten. Nat-gateway plaatst SNAT-poorten in een afkoelstatus voordat ze opnieuw kunnen worden gebruikt om verbinding te maken met hetzelfde doeleindpunt.

• De duur van de timer voor hergebruik van SNAT-poorten (afkoelen) varieert voor TCP-verkeer, afhankelijk van hoe de verbinding wordt gesloten. Zie Timers voor poorthergebruik voor meer informatie.

• Er wordt een standaardtime-out voor TCP-inactiviteit van 4 minuten gebruikt, die tot 120 minuten worden verhoogd. Elke activiteit in een stroom kan ook de niet-actieve timer opnieuw instellen, inclusief TCP-keepalives. Zie Time-outtimers voor inactiviteit voor meer informatie.

• UDP-verkeer heeft een time-outtimer voor inactiviteit van 4 minuten die niet kan worden gewijzigd.

• UDP-verkeer heeft een timer voor het opnieuw gebruiken van poorten van 65 seconden waarvoor een poort in de wacht staat voordat deze beschikbaar is voor hergebruik naar hetzelfde doeleindpunt.

Prijzen en SLA

Zie Prijzen van NAT-gateways voor prijzen van Azure NAT Gateway.

Zie SLA voor Azure NAT Gateway voor meer informatie over de SLA.

Volgende stappen

• Als u een NAT-gateway wilt maken en valideren, raadpleegt u Quickstart: een NAT-gateway maken met behulp van de Azure Portal.

• Zie How to get betterbound connectivity using an Azure NAT Gateway (Betere uitgaande connectiviteit krijgen met behulp van een Azure NAT-gateway) voor een video over meer informatie over Azure NAT Gateway.

• Meer informatie over de NAT-gatewayresource.

• Learn-module: Inleiding tot Azure NAT Gateway.

• Zie Azure Well-Architected Framework-beoordeling van een Azure NAT-gateway voor meer informatie over architectuuropties voor Azure NAT Gateway.